Zum Hauptinhalt springen

Der menschliche Faktor als Risiko

Von Monika Jonasch

Wirtschaft
Das Böse ist immer und überall, am leichtesten ist es für Hacker, wenn Mitarbeiter nachlässig mit Daten umgehen.
© adobe.stock / mpix-foto

Bei Datensicherheit mangelt es eher im menschlichen Bereich als bei der Technik. Das macht Unternehmen Sorgen, Cyber-Verbrechen nehmen zu.


Es menschelt überall, so auch in der Welt der Hightech-Anwendungen und Datenbanken. Da zerbrechen sich einerseits Experten die Köpfe über Hacker-Angriffe, konstruieren hochkomplexe Firewalls und vergessen andererseits auf die eigenen Kollegen. Deren Zugriffe auf das Unternehmensnetz sowie ihr Umgang mit hochsensiblen Daten sind es allerdings, welche die größte Gefahr in sich bergen.

Laut einer aktuellen Umfrage von Western Digital gibt ein Viertel der Datennutzer in unserem Nachbarland Deutschland an, sensible Unternehmensdaten Risiken ausgesetzt zu haben - hierzulande wird dies wohl leider nicht viel anders aussehen. Mehr als die Hälfte der befragten Datenmanager denken, dass das Verhalten der Mitarbeitenden eine größere Bedrohung für ihre hochsensiblen Daten darstellt als externe Hacker. Ihrer Meinung nach könnte immerhin fast ein Drittel (30 Prozent) aller Datensicherheitsvorfälle ihren Ursprung in den eigenen Reihen haben.

Datensicherheit egal, Hauptsache bequem

Worin jedoch liegt das Risiko? Hochsensible Daten werden allzu oft unverschlüsselt via Mail verschickt, über Cloud-Services und Online-Dienste geteilt - frei nach dem Motto: Hauptsache praktisch und leicht zu bedienen. Dass bei solchen Vorgehensweisen viel passieren kann, interessiert die wenigsten.

"Ausschlaggebend ist: einerseits die richtige Infrastruktur von Verschlüsselungsplattformen zu wählen, um Daten zu bearbeiten und andererseits auch die Mitarbeitenden zum korrekten Umgang mit sensiblen Informationen zu schulen", betont daher Ruben Dennenwaldt, Senior Product Marketing Manager EMEA bei Western Digital.

In Österreich ist das Thema Cybergefahren nach einer pandemiebedingten Pause heuer wieder auf Platz eins der Unternehmersorgen zurückgekehrt. Diese Platzierung hatte es in den letzten fünf Jahren immerhin vier Mal, konstatierte jüngst die Umfrage "Allianz Risk Barometer".

Cybergefahren seien ein "ständiger Begleiter", diese Risiken würden nicht abnehmen, und das decke sich auch mit der Kriminalstatistik sowie den Erfahrungen der Versicherung, so Allianz-Experte Severin Gettinger, Chief Underwriter Commercial für Österreich, Schweiz und Osteuropa.

Während die Methoden der Angreifer "immer raffinierter" werden, sorgt vermehrtes Remote-Arbeiten für zusätzliche potenzielle Einfallstore für Angreifer. Bei Erpressungs-Zugriffen (Ransomware-Attacken) seien Unternehmen seit zwei Jahren immer öfter Zielscheiben, so Gettinger.

Die Digitalisierung in den Unternehmen ebenso wie in der Gesamtgesellschaft schreitet also fort, aber der Wissensstand und das Problembewusstsein aller Beteiligten bleibt niedrig. Das ist eine gefährliche Kombination und erhöht die Risiken für Datenpannen aller Art.

Hinzu kommt, dass, gerade weil immer mehr Daten digital gespeichert und geteilt werden, auch die Begehrlichkeiten zunehmen, diese entsprechend nutzen zu können. Gesundheitsdaten, die Adressdaten ebenso wie Krankheitsverläufe, Bildung und sozialen Status vereinen, stehen dabei besonders im Fokus von teils gut gemeinten Forschungsinteressen. Die Diskussion um die "Grüner Pass"-App war 2021 hierbei in negativem Sinne erhellend.

Grüner Pass bis Corona-Tests, Problembewusstsein fehlt

Rund um die von der EU avisierte digitale Einsehbarkeit von Impf- und Testzertifikaten mittels QR-Code, poppten Zusatzwünsche in der Alpenrepublik auf: Die Daten aus dem E-Impfpass in der Gesundheitsakte Elga sollten in das Epidemiologische Melderegister (EMS) des Gesundheitsministeriums kopiert werden und von dort ins Bundesrechenzentrum (BRZ) übertragen werden, berichtete die "Wiener Zeitung" bereits im März 2021.

Diese Pläne lösten umgehend heftige Datenschutz-Bedenken aus. Sie sollten noch monatelang Medien wie Behörden beschäftigen, bis man sich schließlich mit einer schlanken, am Handy nur lokal gespeicherten Lösung zufriedengab und von massenhaften Datenübertragungen sowie deren Auswertung für andere Zwecke widerwillig absah.

Am Beispiel Grüner Pass lässt sich gut erkennen, wo auch in der politischen Szene und der Verwaltung Wissenslücken bestehen. Hauptkritikpunkte der IT-Experten und Datenschützer zum Grünen Pass und der weiteren Verwendung der Gesundheitsdaten waren nämlich, dass man in Elga noch nachvollziehen könnte, wer auf die Daten zugreife. Sobald die Daten jedoch in weitere, weniger sichere System übertragen würden, um dort dann auf unterschiedlichste Weise ausgewertet zu werden, sei diese Kontrolle nicht mehr gegeben. Hat man daraus mittlerweile gelernt - eher nicht.

So ging die Sicherheitslücke bei der Plattform "Österreich testet", der Website des Gesundheitsministeriums zur Organisation von Covid-Tests, jüngst durch alle Medien. Dabei hatte eine zugriffsberechtigte Apotheke nicht bloß auf die von ihr durchgeführten Tests Zugriff, sondern auf die gesamten Daten aller Tests der vorangegangenen sieben Tage. Laut Thomas Lohninger Geschäftsführer von "epicenter.works" handelte es sich um mehrere Millionen Datensätze.

Cyber-Verbrechen im Aufwind

Aufgedeckt wurde diese Sicherheitslücke durch einen Entwickler, der dies dem Gesundheitsministerium meldete, dort jedoch zunächst ignoriert wurde. Auf Mediennachfrage wurde dann die Apotheke, für die der aufmerksame Entwickler arbeitete, aus dem System ausgeschlossen und er selbst gekündigt.

Für die Sicherheitslücke übernahm das Ministerium keine Verantwortung, schob die Zuständigkeit vielmehr den Apotheken zu, die auf das System zugreifen. Dass das System an sich die Zugriffe nicht sauber abwickelte, darin sah man keinen Denkansatz. Unsaubere Lösungen bei Datenbanken mit hochsensiblen Daten haben früher oder später Folgen, und die Cyberkriminalität schläft nicht, ganz im Gegenteil. Die kriminellen Aktivitäten in diesem Bereich werden immer professioneller.

Erst Anfang der vergangenen Woche meldete Europol, dass man ein Netzwerk von Cyberkriminellen unschädlich gemacht und Schäden in Millionenhöhe verhindert hätte. In zehn Ländern seien 15 Server ausgeschaltet worden, welche die Anonymität von Kriminellen im Internet gesichert hätten. Über die Server wurde Schadsoftware, sogenannte "Ransomware", verschickt, um Behörden, Firmen und öffentliche Einrichtungen zu erpressen, teilte die Polizei mit.

Von Cyber-Angriffen betroffen war zuletzt auch die Superfund Gruppe. Kriminellen sei es gelungen, mit Schadsoftware in Teile des Firmennetzwerkes einzudringen und einzelne Rechner zu verschlüsseln, gab das Unternehmen bekannt.

Der jüngste groß angelegte Datendiebstahl betraf erst Ende vergangener Woche das Internationale Rote Kreuz in Genf. Hacker hätten die Daten von mehr als 515.000 besonders schutzbedürftigen Menschen erbeutet, gab die Hilfsorganisation bekannt.

Und während die Daten-Begehrlichkeiten vom Kundenbindungsprogramm bis zu Sozialen Medien steigen, wächst das Problembewusstsein weder in der Öffentlichkeit noch in der Verwaltung. Bildungstechnisch ist der Umgang mit persönlichen Daten auch kein vorrangiges Projekt. Und auch die besorgten Unternehmer in Österreich und Deutschland könnten natürlich in Eigeninitiative ihre Mitarbeiter entsprechend schulen. Datensicherheit ist jedenfalls definitiv ein Problem, das gekommen ist, um zu bleiben.